PopVote存取Telegram密碼易洩資料 保安事故協調中心籲停用
港大民意調查計劃的普及調查PopVote,正進行2017特首選舉民間全民投票,用戶須透過即時通訊程式 Telegram來登記驗證。香港電腦保安事故協調中心表示,關注PopVote系統保安問題,即早前有指PopVote系統會獲取到投票者的Telegram雙重密碼,從而有機會使用戶的對話記錄洩漏。香港電腦保安事故協調中心今(9日)建議,公眾停止使用PopVote,直至相關的保安漏洞獲修復,又或者使用PopVote時,用戶可先轉換新的Telegram戶口或SIM卡。
PopVote投票者需要利用 Telegram 登記,輸入電話號碼後,便會在 Telegram 收到驗證碼,之後才可繼續登記。不過,若投票者在Telegram設定了兩步密碼認證的話,PopVote系統便會要求用戶輸入有關密碼。
就上述問題,香港電腦保安事故協調中心指,有關操作會帶來保安風險,包括對於提交了兩步驗證密碼的用戶,如果PopVote遭到攻擊,則可能會導致信息洩露,攻擊者可能可能會查看到所有聊天記錄,篡改聊天消息或甚至發送消息。
另外在2月7日,香港電腦保安事故協調中心發現PopVote在投票完成後未有終止活動,若然系統受到攻擊,可能會增加被攻擊及竊取資料的風險,但翌日PopVote已更新系統以糾正此問題。
香港電腦保安事故協調中心指,不建議市民使用PopVote,若堅持要連接PopVote系統,則建議用戶轉換新SIM卡或注冊一個新的Telegram戶口。至於已使用過PopVote系統投票的用戶,則建議到Telegram系統內的Active Sessions名單中查看及終止PopVote,及重設雙重密碼。
為防核客才轉用Telegram
港大民意研究計劃主任鍾庭耀,今日出席香港大學春茗時向記者透露,過往PopVote系統一直通過電訊商向投票人發短訊並進行認證,但因過去曾出現電訊商被駭客入侵疑團,今次首次改用安全性較高的Telegram進行認證,繞過電訊商。
鍾續指,雖然坊間有人批評Telegram也會有被駭客入侵的風險,但有份向港大民意研究計劃建議改用Telegram的專家,曾向他表示,相關「風險」只要在投票時關掉「雙重認證」便可以防止。